252 ае 


7 


м 8 


i 5 ЖЕ "Ў 
Ду, а 
РУСЕ 


ү 


SESSA 
АГ 


<< 


У 


4 


\ ХОЛУ 


МА КАЈ 


Банковский SDL своими руками 


Шабалин Юрий 
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\ SDLC в классическом понимании 


Жизненный цикл ПО — период времени, который начинается с момента принятия 
решения о необходимости создания программного продукта и заканчивается в 
момент его полного изъятия из эксплуатации. Этот цикл — процесс построения и 


развития ПО. 
Wikipedia 
OH, YOU READ IT ON 
WIKIPEDIA? 5. 


+": 


YOU MUST ВЕАМЕКРЕВТАМТИЕ 
SUBJECT THEN: <. 
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Этапы: 

Формирование требований 
Проектирование 

Реализация 

Тестирование 

Внедрение 

Эксплуатация и сопровождение 


ЦБ РФ: ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ НА СТАДИЯХ ЖИЗНЕННОГО 
ЦИКЛА АВТОМАТИЗИРОВАННЫХ БАНКОВСКИХ 
СИСТЕМ 
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\ Ожидания руководства ИБ 


Закрытие существующих уязвимостей 
Обнаружение новых уязвимостей 
Повышение грамотности и осведомленности разработчиков 
РЕГЛАМЕНТ безопасной разработки 6 

Объяснение уязвимостей языком, понятным разработчикам 


< 
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Что мы имеем 


Изобилие систем 
собственной 
разработки (50+) 
Различные команды 
разработки 
Внешние 
(неподконтрольные) 
подрядчики для 
разработки 
Отсуствие Code Style, 
Code Review B 
командах 
Неграмотность 
разработчиков в 


области безопасности Нет смысла описывать происходящее 
поэтому напишу: “У нас все хорошо,.." 


Krnova D. 
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~ |I AM THE SDLC 


Со стороны ИБ есть один человек, который занимается software security и 
попытками построения SDLC ... 
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| Основные проблемы 
\ 


Непонимание необходимости устранения 
уязвимостей 

Зачем устранять, 100 лет так жили? А 
сколько денег мы сэкономим? 

Непонимание сути уязвимостей вообще 

Да у нас всё зашифровано, всё под SSL, какая 
ещё 501-ињекциа 2 

Нежелание отдавать исходный код 
безопасникам, традиционное отношение к 
нам, как к карательно-запретительному органу 
Ожидания разработчиков: обезьяна на 
инструменте с кнопкой FWD MAIL. 


Y 
| (00 YoU HAVE А MINUTE, 
ТОТАШ ABOUT VULNERS | 
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\ Чем убеждать 


/Х99...Адаіп?!/ 


e Эксплуатация уязвимостей 
(скриншоты, описание 
реализации) 

• Внятное описание проблем и 
последствий эксплуатации 
уязвимостей 
Понимается куда лучше, чем 
УГРОЗЫ 
КОНФИДЕНЦИАЛЬНОСТИ, 
НАРУШЕНИЕ ЦЕЛОСТНОСТИ, 
ДОСТУПНОСТИ, !!1111! 

• Разъяснение, как именно та т, 
нужно закрыть и что сделать, а 


nonexisten » 

1аљёясаре и 104: 109: /var/Lib/Landscape:/Din/false 
si 4: : /var/runjashd: /usr/sbin/nologin 
» 


чтобы такая уязвимость не ТОНИ 
появилась снова. 


* sh 
8: 28 :№а1 11704 List Manager:/var/1ist:/bin/sh 
ке /у 
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\ Чем завоевать доверие 


e Понимание процесса разработки изнутри 
Понимание проблем, ошибок, боли программистов. Как 
внедрить систему с минимальными потерями... 

• Выстраивание дружественных отношений вместо регламентных 
Максимальное встраивание в процесс разработки, 
использование существующего иструментария (CI, Nightly 
Builds, Вид trackers) 

e Выступаю "переводчиком" с языка отчётов по 


пентесту, оповещений CERT, писем “ НАСК J 
U GIMME MONEY GETA | 
Объяснить, что имелось ввиду, А7 
как и где это поправить, что 
сделать, чтобы не повторялось 
в дальнейшем 
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2ЕКО ТЕ 
Инструменты 


Инструменты стандартны и не интересны* 
Fortify, Burp, Metasploit, ЗОЁ тар, Асипе!х, Аррзсап ... 


FORTIFY A 
E BURPSUITE 8.3 


PROFESSIONAL 
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| Результат 


Закрыли кучу критических уязвимостей, через 
которые могли бы поломать клиентов и сервисы. 
Постоянный мониторинг изменения кода и 
добавления нового функционала 

Мониторим попытки эксплуатации исправленных 
уязвимостей на SIEM 

Что нельзя закрыть или оперативно исправить — 
закрываем виртуальными патчами на WAF 
Повышаем уровень доверия разработчиков к ИБ 
Некоторые команды сами приходят к нам и 


просят проверить приложение 
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Текущий статус 


Регулярно анализируем исходный код приложений 
Добиваем внешних разработчиков на предоставление 
кода существующих систем 

Навязываем обязательный аудит исходников перед 
приёмкой приложения 

Сканирование стороннего кода при добавлении в 
проекты 

Периодически пентестим ресурсы Банка и помогаем 
исправлять выявленные уязвимости 
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Дальнейшие планы 


e Развитие направления Application Security 
Полноценное включение в процесс 


динамических анализаторов и \\еб-сканеров 
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А ВЫ ЧТО ДУМАЛИ, МЫ 
TYT В.ИГРУШКИ ИГРАЕМ? 


СПАСИБО ЗА 
*Зреса! thank М f 
омета аде ВНИМАНИЕ! 


Хигу. арена сот https://www.linkedin.com/in/YuryShabalin 
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